基于Tricon平臺的T3閉鎖型試驗改進研究

□夏 浩

海南昌江核電1、2號機組RPS T3閉鎖型試驗系統基于Tricon數字化儀控平臺實現，在軟硬件設計和實現方式上與參考電廠差別很大。數字化后的定期試驗系統在提高系統集成度和試驗可操作性的同時，在軟硬件設計上隱藏的缺陷也可能導致設備誤動和人因失誤。在T3閉鎖型試驗執行過程中，曾因閉鎖失效或軟件設計錯誤導致設備誤動和特定工況下試驗無法執行的情況。本文在深入分析試驗原理和軟硬件實現方法的基礎上，針對系統軟硬件設計上的不足，提出了相應技術改進措施。

一、T3試驗范圍和內容

Tricon系統具備強大的軟硬件在線自檢功能，特別是能夠自動診斷出多種類型的硬接線回路故障，但是并不能做到通道的全覆蓋，因此還需要通過維護人員或操縱員進行手動定期試驗,以確保系統最大的可用性和可靠性。考慮到對核電廠可用性、可維護性和運行方式以及運行限制條件的影響，RPS定期試驗在設計上不采用從探測器到被驅動設備全通道同時驗證的方法，而是采用分段交迭試驗方法[1]。

T3試驗分為閉鎖型試驗和不閉鎖型試驗，試驗范圍是從保護系統輸出端到下游執行機構或系統。在電廠運行期間，T3不閉鎖試驗在S-VDU或KIC上采用分組試驗方式以驗證執行機構的真實動作性能，而T3閉鎖型試驗只驗證硬件通路或驅動模塊是否正常。T1、T2和T3各試驗段之間相互重疊，確保覆蓋整個保護功能處理通道，保證系統試驗的完整性[2～3]。

二、PLM閉鎖型T3試驗

優選模塊(Priority Logic Module，簡稱PLM)是RPS中ESFAS與現場執行機構的最終硬件輸出接口，它將來自多個系統對同一設備的驅動指令出現不同時，可以根據安全級別的高低優選輸出，在整個RPS系統中起著至關重要的作用。

(一)試驗原理。PLM有兩種工作模式：正常模式和試驗模式[4]。兩種模式通過模式使能接口Test Enable 1(以下簡稱TE1)和Test Enable 2(以下簡稱TE2)來切換，只有當TE1和TE2同時使用時,PLM才處于試驗模式以閉鎖保護信號輸出。

保護系統定期試驗設計必須遵循的重要原則是試驗中不能觸發任何執行機構誤動且不能影響正常保護功能的及時響應。PLM定期試驗要實現以上功能，TE1起著至關重要的作用，試驗程序通過不斷檢測TE1反饋信號是否存在，來實現試驗的執行和退出。

(二)設計不足和改進。在PLM T3試驗過程中曾導致3起設備誤動事件，暴露出其軟硬件設計上的不足，其主要在功率運行階段執行，如果試驗期間重要設備誤動會對機組安全運行造成嚴重影響，甚至可能會引發連鎖動作導致停堆/停機或專設安全系統動作。現對具體的設備誤動事件進行詳細分析。

1.TE1信號斷路導致設備誤動。

(1)情況描述。1號機組在調試階段執行A列1KCS123AR機柜PLM試驗過程中，由于控制1LHA001JA的PLM TE1命令信號發生電纜虛接，而試驗程序沒有檢測到通道故障，導致該PLM沒有處在試驗模式，造成試驗信號真實輸出引發1LHA001JA誤跳閘。

(2)改進措施。由于PLM本身功能不足和反饋信號形成機制設計不合理導致的。為了避免出現這種隱患，現場采取最經濟有效的改進措施就是人工去機柜確認PLM的TE1和TE2使能指示燈是否被點亮，以確保PLM處于試驗模式。

2.軟PLM未閉鎖造成設備誤動。

(1)情況描述。1號機組在執行B列1KCS122AR PLM定期試驗時，由于1RRI284VN、1SAR432VA和1RCV089VP的軟PLM沒有處在試驗模式，導致試驗信號真實下發引起設備誤關閉。

(2)改進措施。試驗時試驗人員必須針對軟PLM進行狀態檢查，保證所有軟PLM和硬件PLM同時處在試驗模式。為了提高試驗工作效率和安全性，在I/A工作站上設計了軟PLM狀態檢查畫面。試驗時,只要啟動TE1使能命令,試驗人員可以在畫面上快速而直觀地確認軟PLM是否在閉鎖狀態。

3.NC/NC+與1E軟件接口錯誤導致設備誤動。

(1)情況描述。1號機組在執行A列1KCS119AR PLM定期試驗時，試驗過程中嚴格按照規程操作，試驗范圍內設備不存在誤動情況，但是主控發現CFI系統A/B列CFI031/032TF鼓網CFI001/002MO(低速電機)、CFI003/004MO(中速電機)、CFI005/006MO(高速電機)和CFI007/008MO(低速電機)全都出現停運，常規島失去循環冷卻水可能會導致停機，嚴重影響到機組安全運行。經分析查明，設備誤動由PLM試驗引起。

(2)改進措施。解決方案是將I/A側點鏈接至原鏈接的上游點LHA51_SH18B和LHB61_SH18B。定期試驗可以確保正常試驗范圍內的設備動作正常，但是無法確保試驗信號不會串到別的系統導致的設備誤動，上述問題導致的設備誤動非常隱蔽，往往難以發現。

三、RPS與第三方系統的硬接線回路試驗

為了實現電氣隔離，RPS SDO卡件送往第三方系統的硬接線接口信號都需要通過隔離卡件傳輸。盡管SDO卡件對硬件回路具有強大的在線自診斷功能，但是并不能跨過隔離卡件診斷到整個硬件通路的開路或短路，因此仍需要通過手動定期試驗來完成其可用性驗證。

(一)試驗原理和內容。RPS與第三方系統硬接線回路試驗通過試驗人員在SVDU手動啟動，試驗先決條件滿足的情況下，試驗程序會自動觸發其中一路真實信號，然后驗證是否收到反饋信號，試驗過程不驅動真實設備或系統動作。

(二)設計不足和改進。

1.可能發生Stuck-at故障導致設備誤動。

(1)情況描述。固定故障(Stuck-at fault)是指電路中某個信號(輸出或輸入)的邏輯電平不可控，在系統運行的過程中一直固定在一個電平上不變，分為Stuck-ON和Stuck-OFF。該故障發生概率極低，但是一旦在試驗過程中出現該故障，極有可能會導致停堆/停機。

(2)改進措施。需要修改試驗軟件代碼，每次試驗一組信號后必須在下一個試驗周期對其進行Stuck-at故障檢測，以避免引起設備誤動。

2.每組試驗之間延時不夠可能導致設備誤動。

(1)情況描述。RPS與第三方系統硬件接口回路試驗執行過程中，原程序代碼中每組試驗信號之間未設置時間間隔，一些第三方系統(如LHP/Q/F)設備與RPS接口采用繼電器實現，繼電器線圈觸點需一定時間才能復位，存在導致設備誤動的風險。

(2)改進措施。修改程序代碼，在每組試驗信號之間加時間間隔5s。

四、結語

綜合以上分析，執行T3閉鎖型試驗的風險非常高，試驗人員在試驗中要十分謹慎，需嚴格遵守規程核實好試驗先決條件和試驗步驟。針對試驗系統軟硬件存在的重大設計缺陷，在現場實施以上技術改進后，目前1、2號機組沒有再出現系統或設備誤動的情況，大大提高了試驗的安全性，對機組的安全運行具有重要意義。